网络接入管理范文
时间:2023-06-05 17:43:52
网络接入管理范文第1篇
关键词:校园网络 网络接入 网络管理精细化
中图分类号:G718.5 文献标识码:A 文章编号:1007-9416(2011)12-0200-02
网络接入管理是校园网络管理中重要内容,网络接入管理的方案受到网络综合布线方案、网络设备功能等多方因素影响,同时网络接入方案又将对网络运行管理和网络安全管理产生决定性的影响,网络接入管理要能有效定位网络用户,防止非法用户的接入,保证接入的用户以正确的身份访问网络资源。本文内容以笔者在无锡工艺职业技术学院校园网的网络接入管理的实践为基础,探讨如何通过加强校园网络接入管理对网络管理的精细化所起到的促进作用。
目前无锡工艺职业技术学院的校园网总体情况为采用星形以太网结构,在现有的31幢建筑中布设了网络点一万一千多个,其中用于教学及管理11幢、学生宿舍14幢,整个综合布线系统以计算机楼为中心,楼宇间采用光纤布线系统,教学和办公区域采用六类UTP综合布线,学生宿舍区采用超五类UTP布线系统,网络设备为华为和H3C系列交换系统,核心为Quidway S8512,汇聚交换机有Quidway S8508、Quidway S5624、H3C7506、H3C S5500,接入交换机主要有H3C E152、S3126C等,所有接入交换机都具有较强的端口管理和控制功能。学生宿舍区的有线网络为每人配备独立网络接入端口;办公区域按面积测算布置适量的信息点;每个教室布置四个信息点,其中两个为教室无线网络接入预留。整个校区全面布置了无线网络,建筑内有中国电信和中国移动的无线网络覆盖,室外公共区域由学院进行无线网络覆盖。所有的机房和电子阅览室均通过光纤接入校园网。
可供网络接入管理用的资源有:综合布线工程的资料即综合布线工程竣工图、房间端口和配线架对照表、设备间接入交换机信息表等;用户联网申请登记表(含用户填写的用户信息、计算机MAC地址等)。根据以上综合布线情况和网络设备情况,为了加强网络管理,在不同功能区实施了不同的网络接入管理方案。
1、学院办公区域的网络接入管理
办公区域的网络接入主要面向学院教职员工办公用电脑的网络接入,人员、位置和接入计算机相对固定,接入定位可从房间端口号――配线架表――交换机端口号进行定位,管理的难点在于由于办公区域的信息点的数量是按房间面积测算后进行布置的,可能在实际运行时不能满足实际需求而采用布置小型交换机扩充的办法,甚至布置室内无线路由器以满足手提电脑移动办公需求。根据以上的情况,我们采用接入交换机端口和接入计算机MAC地址、IP地址绑定的办法确定网络接入管理方案。具体工作有收集联网计算机MAC地址,分配固定的IP地址,接入交换机端口VLAN划分、MAC地址绑定、IP地址绑定,网关交换机上对用户IP地址和MAC地址实施绑定。如果在室内布置无线路由器,设置无线接入密钥,绑定IP地址和用户的MAC地址。
2、学生宿舍区域的有线网络接入管理
学生宿舍的网络接入的特点是数量大,分布广,虽然要求填写入网申请登记表,但所收集的信息可信度相对较差,从网络安全上考虑要防止布置“网中网”,尤其要防止布置无线路由器。根据学生宿舍的综合布线方案,由于学生宿舍的布线为每人配置独享网络接入端口,所以采用基于802.1X技术的网络接入认证的办法。由于学院接入交换机为H3C系列交换机,因此配套布置H3C的CAMS系统进行基于认证网络接入管理方案。
IEEE 802.1x称为基于端口的访问控制协议(Port based network access control protocol)。IEEE 802.1x协议的体系结构包括三个重要的部分:客户端、认证系统(设备端)、认证服务器(RADIUS)。客户端系统是一个用户终端系统,该终端系统通常要安装一个客户端软件,用户通过启动这个客户端软件发起IEEE 802.1x协议的认证过程;认证系统通常为支持IEEE 802.1x协议的网络设备,可以允许通过EAPOL(Extensible Authentication Protocol over LAN)协议帧,保证客户端始终可以发出或接受认证。在认证通过的状态下端口打开,用于传递网络资源和服务。如果用户未通过认证,则受控端口处于未认证状态,则用户无法访问认证系统提供的服务。认证服务器存储有关用户的信息,网络接入设备信息等。整个认证过程如图1所示:
CAMS可进行对用户与设备IP地址、接入端口、VLAN、用户IP地址和MAC地址等进行绑定认证,增强用户认证的安全性,防止账号盗用和非法接入,可以禁止用户设置和使用服务器;可以限制终端用户使用多网卡和拨号网络。通过接入认证访问日志,可以明确知道具体的用户,在交换机的具体的端口,在具体的时间段,以具体的IP地址和MAC地址接入了网络,这对网络安全管理十分有效,同时也便于对用户网络接入问题的排查和解决。表1为用户日志信息:
从表1可以看出,采用CAMS认证接入管理方案可以从接入交换机端口进行严格的接入控制。但为了让学生上网帐户能在不同VLAN中漫游使用,一般不采用对用户帐户和IP地址绑定的操作,由于学生宿舍是每人配备独享网络端口,因此采用将IP地址和交换机端口的绑定操作,即为学生宿舍的网络端口配置固定的IP地址,将IP地址标示在网络端口的面板上,将网络面板上的IP地址和端口对应的交换机端口进行绑定操作。
3、机房、电子阅览室、多媒体教室用计算机网络接入管理
由于这些地方都是用于教学公共场所,因此可以实施基于接入交换机端口的固定IP地址、接入计算机的MAC地址的绑定和VLAN划分操作,同时布置机房管理信息系统,由机房管理信息系统管理用户,对计算机实现用户授权访问,并保留访问日志。
4、无线网络接入管理
由于无锡工艺职业技术学院的无线网络组成的多样性和开放性,为了加强网络安全管理,必须排除非法用户从无线网络接入校园网,因此,在校园网和无线网络的边界处布置反向接入认证网关,无线网络用户在接入无线网络后,需要从网络管理部门获得用户名和密码,通过反向接入认证,认证成功后,获取预分配的并同用户绑定的虚拟IP地址访问校园网。
通过以上的网络接入管理,网络管理人员可以对网络管理中以下管理要素进行有效关联:用户、接入交换机端口、上网地点、IP地址、MAC地址、上网时间段、VLAN等。通过对这些管理要素的准确关联,可使网络管理从网络核心、网络汇聚向网络用户接入端口延伸,通过加强网络接入管理,能够准确定位网络接入的地点,使得网络管理中用户、IP地址和MAC地址三者之间的关系的唯一性,使得网络接入问题的排查解决和网络安全管理更加有效和简明。
总之,网络接入管理方案受限于网络综合布线方案和网络接入设备功能,在条件允许下,通过做一定的基础性工作,能使网络接入管理方案更加完善,使得网络管理的精细化得到提升,使得网络安全管理更加有的放矢,使网络能更好服务学校的教学、管理和学生的学习及日常生活
参考文献
[1]王竹林等.校园网组网与管理[M].清华大学出版社,2001.
[2]张英.网络安全基础[N].中国电力出版社,2004.5期
[3]彭伟.使用802.1x实现校园网认证[J].计算机应用,2003,23卷.
网络接入管理范文第2篇
关键词:RFID;3G;WiFi
中图分类号:TP393文献标识码:A文章编号:1009-3044(2011)16-3925-03
Research of Network Access Intelligent Device Facing Waterway Management Boat
YANG Lian, DONG Li-hua
(Information Engineering College, Shanghai Maritime University, Shanghai 200135, China)
Abstract: The present in view of the weakness of waterway management board "information" , we put forward ship network access intelligent device combined with 3G, WiFi and RFID technologies, to meet the requirements of waterway management board of various multimedia information transmission.
Key words: RFID; 3G; WiFi
目前,港航管理艇在港航相关业务中担当重要角色,执行着许多重要的日常港航业务工作,如内河水域安全监督管理、海事执法以及搜索救助等,同时也是港航业务中重要的水运信息来源,如水上搜救、事故调查、航道管制、水上突发事件处理、内河船舶监管等等。这些重要的信息往往需要实时与局端服务平台进行交互。这些信息存在着多样化、复杂化的特点,包括了语音、视频、设备数据、业务数据等多种类型,有的信息需要实时在线传输,而有的信息又需要在登岸时候进行同步。特别是在港航管理艇出勤现场在线办公,同样也需要保持港航管理艇同局端服务平台的实时通信。
目前各种港航管理艇主要上配备的信息化设备主要包括了:GPS/GRPS(CDMA)终端[1]、船舶自动识别系统(AIS)[2]、船载雷达以及应急远程无线视频传输系统等。由于成本和应用方式所限制,目前在内河港航管理艇上主要安装的是GPS/GPRS(CDMA)终端,用于实现指挥中心统一对港航管理艇进行实时监控以及双向呼叫联系。但是GPS/GPRS(CDMA)终端却无法完成在港航管理艇现场在线办公、实时设备数据传输、视频远程监控等复杂的功能,港航管理艇的“信息化”水平较为薄弱。
着眼于港航管理艇现场在线办公、远程视频监控、港航管理艇状态实时监控、艇载设备数据实时传输等实际需求,研究船载网络接入智能设备,以实现“信息化”的港航管理艇。
1 系统结构
1.1 软件结构
主要的软件场景为港航管理艇执行出勤任务的时候以及港航管理艇停泊在海事管理站的船坞内的时候。
1) 执行出勤任务
管理艇上的船载RFID读取器读取到周围船舶标签的数据,通过3G无线网络保持与港航局局端网络的连接,并通过艇上无线以太网、有线以太网接口的形式提供外部设备的网络连接,如笔记本电脑、船载硬盘录像机等,并同时在设备内部完成各个外部接口总线的网络转换服务,包括以太网/串口转换服务、以太网/GPS接收机转换服务以及以太网/数字IO转换服务。在3G网络无法保持与港航局局端网络的连接,启动数据备份功能,将设备总线的数据(如果有必要)存储在内置的SD卡,如GPS数据,船载RFID读取器的数据等等。
2) 船坞停泊
停靠管理站时,实现3G和WIFI网络的转换,通过无线以太网络保持与港航局局端网络的连接,并通过有线以太网络接口提供外部设备的网络连接,如笔记本电脑、船载硬盘录像机等。由于通过无线以太网络可以保持较大的带宽,此时港航局局端可以调阅船载硬盘录像机的录像数据或其它需要高带宽的业务。另外,船载设备会自动将执行出勤任务上传到港航局局端服务器。
1.2 硬件结构
根据船载网络接入智能设备的功能要求,该硬件电路由控制器模块、网络通信模块、RFID读写器模块、电源模块等四个模块组成,并采用高可靠性的开发式嵌入式系统平台作为核心硬件进行设计,可以快速集成多种成熟的外部设备,所有模块采用和集成工业级设备,以适应港航管理艇的工作环境。设备的硬件结构如图1所示。
1)控制处理模块的主要功能是控制外挂的其他模块。
2)网络通信模块又分为WIFI模块和3G模块。3G模块完成与3G公网的连接,通过和WIFI模块相连,提供船舱局域网功能。
3)RFID读写器模块获取附近水域中船只RFID标签中的信息,通过串口服务器直接连接WIFI模块,使得在线办公的电脑可获取这些信息。
4)电源模块的主要功能是为其他各个模块供电。
1.2.1 控制器模块
船载网络接入智能设备的控制器模块采用的是EP930x处理模块, EP9301/EP9302是Cirrus Logic公司新近推出的系列arm9芯片中的一款极高性价比的控制模块。 EP9301拥有先进的166兆赫 ARM920T处理器(Ep9302为200兆赫), 66兆赫系统总线(EP9302为100兆赫系统总线)以及支持Linux、Windows CE和其它许多嵌入式操作系统的存储器管理器单元(MMU)。
1.2.2 网络通信模块
设备的网络通信模块分为两个部分:3G模块和WiFi模块。结构图如图2所示。
3G模块使用Caimore CM8X50P系列模块,可根据不同的使用网络环境,选择不同模块产品。该模块对外有五个接口:RF I/O、SIM卡接口、WiFi信号接口、电源接口和与控制器之间的数据接口。
WiFi模块采用GIGABYTE公司的GN-W101GS无线模块,数据传输速率标准为54Mbps,支持802.11b/g协议,并具有安全可靠的数据传输能力。该模块对外有六个接口:RF I/O、WiFi信号接口、RFID信号接口、RJ45接口、电源接口和与控制器之间的数据接口。
1.2.3 RFID读写器模块
结构如图所示,包括控制模块(MCU)、射频模块、串口服务器、天线接口以及WiFi模块和电源接口等六个部分。
1.2.4电源模块
根据船载网络接入智能设备的工作环境要求,需要配备220AV转12DV的供电模块,在本设计中,采用了EMI电磁滤波器和过压、过流、短路等多重保护电路,能有效抑制变压噪音,提高变压的可靠性和稳定性。
1.3 实现的功能
船载网络接入智能设备具有以下功能特性:
1)支持3G/3.5G无线接入功能,支持WIFI AP (802.11 A/B/G/N)功能,实现WIFI和3G/3.5G公用网络的无缝连接
2)支持4个10/100M以太网接口(有线WAN口),支持PPPOE协议
3)支持无线视频监控和动态图像传输
4)上电即可进入数据传输状态,并且智能防掉线,设备支持在线检测,在线维持,掉线自动重拨,确保设备永远在线。
5)支持RFID监控功能
2 关键技术
2.13G和WIFI
3G是英文3rd Generation的缩写,指第三代移动通信,是相对第一代模拟制式通信(1G)和第二代GSM、TDMA等数字通信(2G)而言的,能够处理图像、音乐、视频流等多种媒体形式,提供包括网页浏览、电话会议、电子商务等多种信息服务;支持不同的数据传输速率,即室内、室内和行车的环境中分别支持至少2Mbps、384kbps以及144kbps的传输速率。可以看出3G技术能够支持船舶的各种信息业务[3-4]。
WiFi全称Wireless Fidelity,又称802.11b标准,是IEEE定义的一个无线网络通信的工业标准(IEEE802.11)[4]。802.11b定义了使用直接序列扩频(Direct Sequence Spectrum,DSSS)调制技术在2.4GHz频带实现11Mbit/s速率的无线传输,在信号较弱或有干扰的情况下,宽带可调整为5.5Mbps、2Mbps和1Mbps。
从表1可以看出3G和WIFI的优缺点,两种网络技术在船舶移动通信技术上实现局部的融合,可以各自发挥优势、扬长避短,互补趋势集中体现在以下几个方面[4]:
1) 语音和VoWLAN。相对于满足大话务量、多用户数的3G技术,基于IP技术的WLAN网络更适合开展船舶上广播式的语音业务(PTT、多方会议、长途通话、广告等)。
2) 广域覆盖和区域覆盖下的数据业务。相对于3G技术覆盖范围大、快速移动时仍能保持144kbit的数据速率的特点,WLAN技术在船舶内满足用户高速数据传输的需求具有绝对优势。
3) 无线信道资源的利用。3G分配的频率资源是有限的,而数据业务对信道的占用率极高,影响其同时接入的语音用户数量。规划船舶内把数据业务转移到WIFI的公共数据通道无疑将大大提高3G无线网络资源利用率。
2.2 RFID
射频识别(Radio Frequency Identification,RFID)技术,是一种利用射频通信实现的非接触式自动识别技术[5]。其基本原理是利用射频信号耦合(电感或电磁耦合)或雷达反射的传输特性,实现对被识别物体的自动识别。简言之,射频识别技术是通过粘贴于目标物上的电子标签发射射频信号来将目标物相关信息传至读写器的技术。
硬件系统由标签、读写器和天线三部分组成。标签(Tag)由耦合元件及芯片组成,每个标签具有唯一的电子编码,附着在物体上标识目标对象。读写器(Reader)是写入、读取标签信息的设备,可设计为手持式或固定式。天线(Antenna)在标签和读写器传递射频信号。
3 结束语
本文研究的面向港航管理艇的船载网络接入智能设备,目前根据各项测试来看,设备的可靠性、稳定性等关键技术指标已经达到了设计要求,可以满足日常业务管理的需求。但从产业化和研发角度来看,如何将船载网络接入智能设备研发成三网(联通、电信、移动的3G网络)合一的一体化设备,是下一步工作尚可继续探究的问题。
参考文献:
[1] 耿宁.谈AIS的基本概况及应用[J].中国水运,2010,1:7-8.
[2] 刘小慧.GPS系统概述及其定位原理[J].科技资讯,2006,6:11.
[3] 邓永红.3G技术综述[J].有限电视技术,2004.19.
[4] 王建全.WIFI与3G融合解决方案浅析[J].通信世界周刊,2009,6.
[5] 董丽华.RFID技术与应用[M].北京:电子工业出版社,2008.
[6] 李全林,郭龙岩.综述RFID技术及其应用领域[J].专家论坛,2006,1:51-62.
[7] 陈新河.无线射频识别(RFID)技术发展综述[J].标准与技术追踪,2005,7:20-24.
[8] 俞敏.RFID技术发展现状及应用综述[J].仪器仪表学报,2008,4:728-731.
网络接入管理范文第3篇
[关键词]信息安全; 网络接入控制; 企业局域网
随着信息技术的广泛应用,计算机病毒和间谍软件日益成为企业现实的网络安全威胁。同时,移动计算机的普及使移动用户和外部计算机能轻易接入企业局域网,进一步加剧了内网私有信息泄漏的威胁。为了保护好企业的数据信息,应充分利用计算机网络接入控制技术有效地控制对访问内部网络资源终端设备接入,拒绝外部设备或者被感染恶意代码的设备访问,提高企业网络的安全性。
1.计算机网络接入控制技术
网络接入控制技术是网络安全一个重要的研究方向,通过相应的技术手段有效限制不可信、非安全终端接入企业内部网络,确保访问网络资源的所有设备得到有效的安全控制,以抵御各种安全威胁对网络资源的影响,从而达到保护内部网络及终端安全的目的。
1.1传统网络接入控制技术
传统的网络接入控制技术,包括划分VLAN技术、防火墙技术、配置静态IP地址、MAC地址与接入交换机端口绑定、设置交换机端口安全和访问控制规则等方法,大多基于“扫描——发现——阻断” 的工作模式,通过网络接入控制系统的管理中心,对网络进行不断的扫描,并对扫描的计算机进行合法性检查,判断该终端是否为合法终端。当发现该终端为不合法终端时,与交换机联动或采用ARP欺骗等方式,阻断该终端接入网络。传统网络接入控制技术比较成熟易于操作维护,但存在如扫描周期长、检测不全面和占用网络资源大等的缺点。
1.2新型网络接入控制技术
鉴于传统网络接入控制技术在保护内网安全上日益捉襟见肘,国内外多家信息安全厂商都推出了网络接入控制架构或产品,其中具有代表性的有思科公司的网络接入控制(Network Access Control,NAC)、微软的网络准入保护((Network Access Protection,NAP)、Juniper公司的统一接入控制(UAC)和可信计算机组的可信网络连接(Trusted Network Connection,TNC)等。新型网络接入控制技术部署方式基本一致,都遵从三元框架,分为接入终端、接入控制设备及策略服务设备三个实体,并将控制目标转向了计算机终端,从终端着手,通过管理员指定的安全策略,对接入内部网络的主机进行安全性检测,自动拒绝不安全的计算机接入内部网络。但由于上述新型网络接入技术是各个公司结合自身的技术背景提出的,尚未形成统一的国际标准,无法实现与现有网络设备较好兼容,一定程度上限制了其推广。
2网络接入控制技术在企业局域网中的应用
2.1企业局域网的结构特点
企业局域网大都采用如图1所示的网络结构,分为核心层、汇聚层、接入层的三层结构,将用户接入交换机放在各行政部门,汇聚交换机置于楼层,核心交换机、服务器和安防设备等置于信息机房。这样的网络结构较为清晰,易于访问控制,便于扩展。
企业局域网需要通过网络接入控制技术来解决三方面的问题:1)终端安全问题。能够限制所有未授权终端接入,确保所有能够进入网络的客户端设备均已安装最新定义和政策,把恶意程序入侵的风险降到最低。2)增强网络安全认证系数。只有指定设备和用户才能存取特定的企业资源。只有通过验证的指定设备和用户才可以存取特定的企业资源,来有效地减少恶意程序入侵和机密数据外泄的风险。3)减少网络安全维护的工作量,提高的成本效益。网络接入控制技术要能够大幅减少网络管理人员介入的需要,更可减少企业网络被入侵而带来的善后处理工作,提升企业的整体生产效率。
2.2传统网络接入控制技术的应用
传统网络接入控制技术相对成熟,在企业控制用户终端接入方面能起到较大作用。已建企业局域网可以考虑使用传统网络接入控制技术提高企业局域网安全性。
1)划分VLAN,隔离广播风暴。企业可以将各个业务部门划分为一个独立的VLAN,这样可以减少广播流量,隔离广播风暴,释放带宽给用户应用。同时VLAN可以限制各业务部门直接访问,提高局域网的安全性,各部门通过核心交换机和企业数据服务器进行通信,便于网络监管和控制。
2)配置IP地址、MAC地址与交换机端口绑定。为所有入网终端配置静态IP地址,在接入交换机上设置IP地址、MAC地址、交换机端口与VLAN ID绑定,设置接入交换机与汇聚交换互联端口为TRUNK模式,允许指定VLAN通过汇聚交换机,同时关闭交换机未使用端口,实现仅允许授信终端接入网络,限制未授权终端接入至企业网络。
3)设置访问控制策略,在核心交换机配置访问控制策略和VLAN服务策略,限制各部门直接访问,允许已授信终端访问企业服务器数据,同时结合防火墙技术进行相关监控,提高企业似有数据的安全性。
2.3新型网络接入控制技术的应用
企业新建或完全改建现有网络结构,在网络接入控制技术方面,可以考虑采用某一新型网络接入控制技术,比如也可以针对新型技术的侧重点综合考虑,采用多种技术相结合的方式,但也应考虑互操作性和兼容新问题。
1)NAC技术是由思科(Cisco)主导的产业级协同研究成果,可以协助保证每一个终端在进入网络前均符合网络安全策略。NAC主要由客户端软件、网络接入设备、策略服务器和管理服务器几部分组成,可以提供保证端点设备在接入网络前完全遵循本地网络内需要的安全策略,并可保证不符合安全策略的设备无法接入该网络及设置可补救的隔离区供端点修正网络策略,或者限制其可访问的资源。由于NAC技术是思科公司围绕自身设备而设计的,其构架中接入设备的位置占了很大的比例,所以企业采用NAC技术应尽量使用思科公司的网络设备。
2)NAP技术是微软为Windows Vista和Windows Server Longhorn设计的新的一套操作系统组件,主要由NAP客户端计算机、NAP Server、策略服务器和证书服务器几部分组成。NAP技术提供了一套完整性校验的方法来判断接入网络的客户端的健康状态,对不符合健康策略需求的客户端限制其网络访问权限。NAP技术偏重于终端和接入服务组件,缺点是体系比较封闭,只支持Windows 平台,完全依赖微软的IT 架构。目前在网络接入控制技术上思科与微软已经结盟,企业可以在网络接入设备上采用思科的NAC技术,主机客户端上采用微软的NAP技术,实现两者互补,从而更好提高企业网络接入控制效果。
3)UAC是Juniper公司提出来的统一接入控制解决方案,UAC由用作集中策略管理器的网络控制器、客户端以及多种不同形式的网络执行器组成,包括Juniper 防火墙以及能支持第三方的802.1X协议的交换机及无线接入点等。UAC是一个可扩展解决方案,提供自适应接入控制,减少威胁,降低风险。它能保护企业的网络、关键任务应用和敏感数据,并提供全面的管理、可视性和监控。
3计算机网络接入控制技术展望
新型网络接入控制技术的发展,在提高安全接入性能的同时也存在一些问题,比如用户担心采用一种网络接入控制技术有可能让用户锁定一家厂商,从而会陷入他们当前选择的网络接入控制解决方案的困境。用户需要网络接入控制,但是更需要能够兼容现有设备的网络接入控制技术。
在大多数环境中的互操作性对于网络接入控制是必不可少的。特别是思科和微软分别以自己的网络接入控制和网络接入保护技术进行合作。微软最近宣布,微软的NAP技术将共享可信计算组织(TCG)所属的由网络接入控制厂商和产品组成的可信网络连接联盟制定的网络接入控制互操作技术规范。可以预见,随着各大厂商的技术合作日益深化,网络接入控制技术的互操作性将逐步完善,并最终实现网络接入控制的规范化、标准化。
参考文献:
[1] 杨飞. 常见的几种网络安全接入技术分析[J].计算机安全,2008,(05).
[2] 路海.网络访问控制技术及其应用分析[J].信息与电子工程.2009,(Vol.7,No.5):483-487.
[3]Cisco Systems Incorporation. Technical Overview NAC Framework Configuration Guide[R]. Cisco Systems,Inc, 2007.
网络接入管理范文第4篇
关键词:区域卫生平台;信息安全;设计
中图分类号:TP393 文献标识码:A 文章编号:1674-7712 (2012) 12-0076-02
一、引言
根据区域卫生信息平台的应用安全需要,整个平台的网络架构应由区域卫生信息平台统一负责设计和规范。相关的接入设备设置标准和运维要求应由区域卫生信息平台统一制定管理规范要求。各接入单位和运维单位应依据区域卫生信息平台统一制定的管理规范要求,对各自所使用和管理的各类设备、应用系统、运维工具制定相应的使用、管理规范确保整个系统的安全运行。
二、网络安全
网络系统安全也是网络系统稳定的根本性保障,无法保障系统安全的网络是无法实现网络系统的稳定性的,然而,根据公安部的统计,网络系统的安全事件,有70%是由内部的使用者造成的,因此,一个能够轻松使用内部网络系统的用户,其有意或无意造成的网络安全影响会比一个外部的黑客造成的影响还要大。
目前,网络系统中蠕虫病毒、扫描攻击、DDOS等攻击越来越普遍,而这些攻击将直接导致网络系统瘫痪和中断,给医院的正常业务开展造成非常严重的影响。例如:单台主机在进行扫描攻击的时候,可以瞬间将门诊收费的主干网络设备的系统资源占满,造成门诊收费等系统无法正常通信,严重时还将造成全网主干系统数据传输缓慢或中断。因此,病毒是目前比较严重的问题,尤其是网络病毒和网络攻击型病毒,防范十分困难。
(一)网络接入方案。规范所涉及的网络建设涉及到市区两级网络的规范联接、协调管理等内容,所以在网络接入方案规范要求方面,将相关内容拆分成以下两部分。
(二)区县网络接入方案。区县网络接入方案应由区县卫生信息平台根据本区域网络建设的实际情况进行方案选择,可提供的建议主要有三种:
1.利用VPN相关技术依托Internet网络构建区域卫生信息专网。
2.基于本区域的政务专网构建卫生信息专网。
3.自行建设本区域的卫生信息专网。
由于各种网络接入方案在安全技术和管理权限上存在较大的差异,因此各区域网络建设单位可根据各自所选用的网络接入技术方案,制定符合自身需要的网络安全管理规范。
(三)市级网络接入方案。市级网络接入方案主要针对对象有两类:(1)各区县卫生信息平台;(2)市级所属各医疗卫生单位。市级网络接入方案的制定应根据市级区域卫生信息平台相关建设要求,结合各类接入单位的实际网络建设情况、业务状况、安全要求进行规划建设。同时各区县卫生信息平台和市级所属各医疗卫生单位,应依照市级网络接入方案的相关要求,配合市级卫生信息网络建设对自身应用网络进行改造。
(四)前置设备管理。前置设备指部署在区域卫生信息平台之外,各接入单位本地的各类设备,主要包括前置服务器设备(服务器)、网络接入设备(交换机)、网络安全设备(防火墙)。前置服务器设备(服务器)的管理配置权限均有中心负责,各接入单位有权使用该设备,并在该设备上部署同中心进行数据交换所需要的各类应用功能(部署前需要向中心相关管理人员进行说明)。网络接入设备(交换机)、网络安全设备(防火墙)的管理配置权限存在以下两种状况:网络接入设备和网络安全设备被置于中心可见范围内,且相关的设置依照中心原定技术方案进行配置。在此情况下由中心负责对上述设备的管理,由接入单位配合中心进行维护;由于接入单位自身网络建设要求,网络接入设备和网络安全设备被置于中心不可见范围内。在此情况下上述设备的管理和维护则由接入单位自行按照中心相关要求进行。
三、应用安全
(一)CA数字签名集成。出于对整个区域卫生信息平台的应用安全考虑,要求接入单位在各自的数据上传接口中依照区域卫生信息平台所提供的相关技术资料,将数字签名功能集成进文档注册功能中。前置设备在接收文档注册申请时,首先会验证文档签名。签名通过后还会验证XML结构和部分信息是否符合接口描述要求,如通过后返回机构文档注册程序成功标志表明此文档顺利提交,否则返回失败及失败原因,接入机构文档注册程序接收到错误信息后,根据错误信息代码及描述,对文档或数据重新处理后再次提交,直到成功。
(二)数据安全。区域卫生信息平台应该统一负责整个系统的数据安全,依据此要求结合各类信息的实际存储位置、管理负责单位的差异,规范将数据管理工作拆分成前置端数据管理和中心端数据管理两大部分。
(三)前置端数据管理。前置端数据管理工作主要由区域卫生信息平台的日常运维人员负责,并由接入单位相关责任人提供相应的配合。主要应实现以下工作内容:对前置设备中的各类数据,制定全备份和增量备份相结合的备份策略,确保数据存储的安全性;对前置设备中的数据库定时进行数据索引重整、数据库日志截断,确保数据库运行的稳定高效;对前置设备中的各类应用日志进行定期清理;对前置设备的存储空间进行监测,并定期进行历史数据清理。
(四)中心端数据管理。中心端数据管理工作主要由数据中心相关管理单位负责,主要应实现以下工作内容:制定中心端数据的备份策略(包括物理备份和逻辑备份),并根据用户要求进行相应的数据恢复演练工作;监测中心端数据存储空间和日志空间的使用情况,在监测结果超出警戒阀值的状况下,将相关信息反馈给用户管理部门,确保相关问题能在第一时间被发现并被及时解决监测中心端相应设备的运行状况(CPU、内存等),并定时将监测结果反馈给用户管理部门。避免由于各类硬件设备问题或设备资源不足,而导致的系统故障、数据丢失状况的发生。
四、结论
本通过对区域卫生平台的信息安全的探索、研究和应用,提高平台的安全水平,和资源的综合利用,促进信息数据的完整性,培养实践创新人才具有积极的作用。实践表明,该设计对其区域卫生平台的设计具有一定的参考价值。
参考文献:
[1]蔡小芳,张永胜.在Web服务安全中XML加密与签名的应用[J].计算机安全,2006,7
[2]胡隽.构建区域卫生信息网进一步整合各级医院信息资源[J].社区医学杂志,2010,5
[3]王佐卿,王树山,邱洪斌,祝丽玲,李殿奎.新医改模式下区域卫生信息化建设的探讨[J].中国医院管理,2010,11
网络接入管理范文第5篇
【关键词】GPON技术;通信;发展和应用
随着宽带业务应用的多元化以及运营商提供的服务多样化,网络信息的传输量成倍的增加,对网络带宽需求的不断提高,采用光纤的接入方法能够有效的解决网络带宽问题,采用GPON技术解决网络带宽问题的基本特征是:网络传输的吉比特高速率、信息封装的高效率、支持多业务透明传输,网络的上行与下行的传输速率快,同时提供明确的Qos质量保护和高级别的服务保障,能够提供有效的信息传输的网络监测和业务管理。
1 GPON网络接入系统的架构
同所有网络PON的接入系统相似,GPON系统的接入由光网络接入单元ONU、光线路终端OLT和无源光分配网络ODN等三部分组成,OLT为网络接入侧与用户核心网络之间的接口,具有分布带宽和控制光网络接入单元,对网络进行实时维护和监控,ONU主要为用户网测提供接入接口,提供语音、数据和视频等相关的业务流,受OLT的集中控制,根据信息的传输的要求,系统的分支比可以为1:16或者1:32、1:64比例,根据光分支的特征和要求,这种光分支比可以达到1:128。在GPON的接入网络系统中,GPON可以采用波分复用技术来实现系统信号的双向传输,提高信号传输的带宽。如果网络的带宽在遇到信号阻塞的时候,还可以对传统的树型拓扑进行提升,采用相应的传统的PON保护结构以提高网络的信号传输的速率和网络稳定性。基于GPON技术的网络接入系统的架构如下图1所示:
2 GPON接入网络的技术特点
GPON网络接入主要采用的是点到多点网络拓扑结构,采用的是无线光接入技术,网络的安全性能比较稳定,网络信息的传输主要采用的GEM数据封装的方式,可以满足众多用户视频点播和语音通信的功能,具有高质量的信息安全保护机制和高效的网络传输速率。
(1)GPON接入网络传输速率高。信号的上行传输速率达到1.244Gbit/s,下行速率达到了2.488Gbit/s的高速传播速率,能够满足运营商和用户对网络信号传输的带宽需求,用户主要采用的是CEM封装方式,信号的传输比较稳定,综合传输速率达到95%以上。网络的接入采用的是非对称性的单路光纤的接入,可以有效的满足ONT的用户需求,可以有效的节省运营商的光纤资源,提升网络带宽的利用效率。
(2)QoS保证的全业务接入。GPON主要采用的Qos服务质量对传输的信息进行保证,能够有效的承载ATM信息元,对网络信息的传输采用GEM封装技术,对网络信息的传输能够提供很好的服务等级,提高网络信息的传输速率,能够支持Qos安全服务质量保证,提供网络信息的全业务接入能力,网络信息发射端在承载GEM帧时,能将TDM的数据信息映射到GEM帧中,可以采用标准的帧(8hz,125us)直接支持TDM的数据传输业务,保证业务信息的实时传输,可以承载语音、视频服务,保证系统信号传输的Qos服务质量。
(3)简单、高效的信息封装技术。GPON技术主要采用的是GEM的信息封装和分片技术,提供了一种灵活、方便的帧封装结构,能够将一条信息分割成若干个GEM帧,并将GEM帧按照信息的分割顺序进行传递,实现多种业务的通用映射,信息在传输的过程中,不需要进行通信协议的转换,信息传输的过程简单,占用的带宽比较小,GEM帧封装的效率高达97%以上,能够实现网络带宽资源的有效利用,提高网络通信的效率。
3 GPON技术在通信中的应用
目前,基于PON技术通信接入网存在诸多问题,例如覆盖范围窄、信号传输质量差、带宽小以及容易掉线、Qos服务质量差等不足,不适合于大规模的网络信息传输、语音、视频等业务流的发展及应用。随着通信技术的发展,网络视频点播、语音信息的传递,网络对宽带通信的需求不断提高,GPON接入技术能够很好的解决这一问题。
(1)FTTB接入应用模式。这种就是光纤到楼宇宽带光接入网网络,主要采用光纤替换用户引入点之前的铜线电缆,将光网络接入单元ONU布设在传统的信息分支点上,并将ONU以下的接入采用其他介质接入用户,可以方便的实现多个用户共享,每个光网络接入单元可以支持10~100左右的用户,光线路终端OLT一般安放在局端,用于用户的业务信息分发工作,OLT上联网络侧采用光纤接口并与ONU设备相连接,用户侧提供相关的线接口,主要包括POTS、ISDN、ADSL、以太网等相关通信网络的接口。在一般情况下,FTTB接入模式的方式要根据实际接入的小区或用户的情况而定,可以采用FTTB+XSDL(主要用于接入家庭的网络用户)或者FTTB+LAN(主要是接入楼宇或小型的局域网中)两种模式模式。
(2)FTTH接入应用模式。GPON技术的网络接入模式可以根据具体的情况进行设计,FTTH的接入就是光纤到家庭用户的接入方式,连接通信局端和家庭住宅的接入方式,主要是利用光纤传输媒质对用户的网络进行连接,通过引入光纤由单个家庭使用,提高网络的传输速率,但是在某种程度来说,容易造成带宽的浪费。这种接入方式,在物理网络构成上,FTTH在光线路终端OLT与无源光分配网络ONU之间采用全程光纤的接入方式,保证通信网络的上行和下行的传输速率,将无源光分配网络ONU光节点根据实际的需要布设到用户家中;这样,无源光分配网络ONU称为ONT网络接入方式,能够直接的通过UNI为用户同UNI接口连接。在FTTH的网络接入应用模式中,OLT与ONU之间主要采用无源光分配网络技术,网络的构成主要由光分路器和光纤构成,形成一个动态管理的系统,能够实现视频、语音、交互式大型网络游戏等业务流比较大的网络信息传输,光线路终端OLT可以根据需要置放在小区机房或者专业的远程机房中,这种接入设备的供电方式可以采用220v的家庭电源供电,也可以采用专用的UPS进行供电,保证系统的稳定性。
4 小结
GPON技术作为一种点到多点网络宽带接入技术,才用了GEM封装技术,并且能够有效的实现信息分片传输技术,吸取了PON网络传输的优点,能够与网络服务运营商制定的ITU技术标准相适应,拥有多种信息接口的接入方式,在信息的传输方面超过了传统以太网的网络接入方式,可以实现视频、语音、大型交互式网络游戏等业务流比较多的网络信息的传输。GPON技术可以通过对原有的网络技术进行改造并加以简化,就能够实现快速的网络传输技术,在使用中充分体现其广覆盖,高带宽,双纤保护等特点,实现GPON技术网络接入的先进性。
参考文献
[1]陈洪州.GPON技术应用及发展探讨[J].科技创新导报,2011(27).
网络接入管理范文第6篇
关键词:AC;网络接入;WEB认证
中图分类号:TN929文献标识码:A文章编号:1007-9599 (2011) 24-0000-01
The Analysis of Unified Internet Access
Platform Design
Wang Haijun,Liu Chun,Li Zhichao,Lu Jian
(Zhongshan Polytechnic,Zhongshan528404,China)
Abstract:In order to solve some management problems of Zhongshan Polytechnic caused by network,the unified platform for Internet access was designed.Through this platform,a multi-service network was achieved,and the effective management of the users was also achieved.Through this Program,Some solutions for multi-service network were provided.
Keywords:AC;Network access;WEB certification
一、系统背景
中山职业技术学院目前有3个网络,分别是:校内网络(学院自行建设、管理),宿舍网络(市场化运作,厂家投资建设),校内无线网络(运营商投资建设、管理)。通过建设了这一套统标准的接入平台,实现多个网络能够的安全接入到校内网络,并且能够方便的进行业务网络的扩容。本篇论文分析中山职业技术学院的对统一网络接入平台的部署和研究经验。
二、项目规划
中山职业技术学院目前的三个业务网络是独立运作的,为满足学院师生的在日常学习生活中的上网需求,因此需要将这三个网络打通。基本需求是将校内的信息资源开放给所需的用户,同时要保障校内核心网络的安全性。基于这些因素的考虑,我们从以下三个方面对业务网络接入进行规划:
设计目标:建设一套安全认证体系,实现一个或几个业务网络能够方便快捷的接入核心网络。
业务目标:用户能否方便快捷的接入核心网络,访问所需要访问的资源。
管理目标:能够设定用户访问哪些资源,能够分析用户的危险行为,发现内网的安全漏洞,能够对用户日志审计,能够进行流量控制等功能。
(一)项目框架设计。根据设计目标,基本思路是以采用AC认证系统加路由选择模式,实现多网络接入认证管理和路由选择。具体部署是将AC系统以网桥模式部署在校内网络中,实现高效运作;再将宿舍网络和无线网络接入到AC系统中。
1.校内网:校内网是学院核心网络,学院服务器统一布置的网络:172.21.2.X/24。AC系统也布置在这个网段,IP地址设置为:172.21.7.254/24。
2.宿舍网络:宿舍网络是为了给学生提供宿舍上网的需求,其为无线网络用户和宿舍网络用户提供资源服务。
3.无线网络:无线网络的是为了满足学院老师和学生无线上网的需求,其IP段为:172.16.XX.XX/24。
(二)行为管理系统设计。AC系统应该具有以下几个基本功能:
1.拥有全面的防攻击能力。AC管理系统能够有效的识别应用层的行为内容,有效识别内网主机感染木马、间谍软件、识别端口扫描、垃圾邮件外发行为;提供防DOS攻击功能;危险流量识别。
2.日志记录。AC系统详细记录来自互联网以及内网的用户对数据中心服务器的各种访问行为日志,进而AC将向管理者展示数据中心服务器流量组成、使用情况,各服务器的带宽占用细节等信息。
3.日志审计功能根据公安部82号令规定日志文件备查至少60天。能够记录访问学校内网用户每天的各种行为日志记录,并可直接打印和导出报表。
4.流量控制管理。P2P软件流量控制:针对目前P2P软件泛滥,完全影响网络使用带宽的情况。针对每一种P2P应用进行上行流量和下行流量的控制。
5.用户策略管理。为了解决对不用用户能够提供不同的访问权限,我们要求AC系统能够根据用户的角色设定访问权限。
(三)路由设计。
1.宿舍网络路由。宿舍网络的用户如果要访问校内网(172.21.2.x/24),那么将路由信息转发到校内AC系统中;如果访问IP不是校内网IP,那么就直接处外网。
2.无线网络路由。无限网络的用户如果要访问校内网(172.21.2.x/24),那么将路由信息转发到校内AC系统中;如果访问IP不是校内网IP,那么就直接处外网。
(四)域名解释设计。由于校内服务基本是基于域名来访问的,而无线网络和宿舍网络的路由器的路由选择是基于IP的。因此需要在无线网络和宿舍网络中增加一台DNS域名解析服务器,并将该域名解释服务器设为首选域名。将校内域名解释设置到这些DNS服务器上,例如:校内网络:web.省略,域名解释:172.21.2.2。如果用户一旦输入web.省略,解释的地址是172.21.2.2,通过本业务网络的路由进行选择,将用户信息转发给AC进行处理。
(五)用户登录设计。当客户端在浏览器中输入任意网址时,AC安全网关会要求用户输入用户名和密码进行认证。只有当用户输入了正确的帐号,该用户才能够访问校内网络。为了结合学院数字化校园建设,由于我们将学院信息门户与AC系统做了对接。因此跳转的认证页面是学院信息门户页面。这样用户在登录信息门户后,同时会登录AC系统。
三、经验总结
与传统的一对一简单接入相比较,该方案实现了接入系统的统一规划部署,高效管理。实现了核心网络与业务网络的互联互通;用户能够方便的通过认证页面来登录校内系统,访问所需要的内部资源;管理方能够通过AC管理系统,设置用户的访问权限,审计用户的访问日志。
参考文献:
[1]李欣.互联网访问行为管理系统的研究[J].计算机时代,2008
[2]深圳深信服科技有限公司.中国上网行为管理蓝皮书[R].深圳:深信服科技有限公司,2010
网络接入管理范文第7篇
光进铜退影响到运营商业务模式、网络模式、维护模式等多个方面,对运营商的IT支撑系统提出了重大挑战,涉及BSS/OSS中众多系统的架构改造和能力提升。要更好地推进光进铜退,就需要充分了解光进铜退的业务规则、产品设计、网络规划、运行维护规程等涉及前后端的业务、网络等层面的相关需求,根据需求及早制定IT系统的详细支撑方案,提前推进IT系统建设和改造,形成集中、全专业、统一数据模型的综合网络资源系统;建设集中、具备“流程+数据”驱动的综合服务开通系统;建设集中、具备客户及网络故障综合处理能力的服务保障系统及相关配套系统(如CRM、自动激活、综合网管等)。
迎接光进铜退挑战
光进铜退标志着运营商接入网从铜缆时代进入到光纤时代,涉及网络、产品升级、运营维护等多方面的重大变革,对IT支撑工作提出了重大挑战,主要表现在以下几方面:
(一) 业务模式的多样性给IT支撑工作带来的复杂性挑战。如:网络接入方式、终端(家庭网关)、IT和网络边界等相关业务模式上标准化、规范化程度不足,导致IT支撑方案将非常复杂。
(二) 业务推动的紧迫性给IT工作带来的紧迫性挑战。DSL历经十年时间才建立起完善的运营体系,而当前,三网融合及电信行业的竞争压力,使运营商的业务压力迅速传递给IT支撑部门。
(三) 光进铜退业务发展给核心IT系统带来的主要困难:
1. 网络资源系统:光进铜退使得接入网逐步融合了交换、传输、数据、动力、管线等多个专业,导致对接入网资源的统一高效管理难以实现。
2. 服务开通系统:光进铜退使得业务开通流程不仅要依赖产品,还要依赖网络接入方式,导致装拆流程呈倍数增长、改移流程呈几何级数增长, 流程设计和协同控制困难;其次,使得CRM和服务开通系统之间接口更为复杂、业务异常增多;第三,由于光接入的高带宽特性,使得接入型业务开通和带宽型业务开通在接入网层面趋于融合。
3. CRM系统:光进铜退使得基础产品与接入方式由一对一变成多对多,产品与网络接入方式之间的依赖关系发生了根本性改变。如果延续原有的产品管理模式,一方面使得受理方式、套餐配置呈倍数增长,产品间互斥依赖关系复杂,影响临柜效率和业务受理质量;另一方面将导致CRM和OSS耦合度过大,无论是接入资源配置、局向地址错误、终端领取适配等业务异常,还是网络割接、接入方式调整等网络变化,都会直接影响到CRM。
光进铜退对IT支撑系统的要求
IT支撑三原则
做好光进铜退的IT支撑工作,需要遵循以下原则:
(一) 改造传统产品设计方式,明确产品与网络接入方式无关。
1. 光进铜退后高带宽产品是以带宽为产品区隔的主要属性,即以带宽而非网络接入方式作为营销手段,这要求运营商不再以接入方式作为家庭客户与政企客户的区分手段。
2. 接入方式由网络资源系统管理,并与前端CRM系统中的产品分离,有利于简化前台受理、套餐配置、营销宣传和客户服务,有利于降低网络演进发展或割接调整对前端业务支撑的影响,有利于高效处理业务开通异常,保持装维效率和开通质量的稳定,从总体上优化了业务规则和端到端流程,降低了企业运营成本。
3. 升级CRM系统的产品管理功能,改造CRM和OSS的接口,清理迁移原有包括接入方式的套餐,都需要一定的时间,因此在过渡期内,可暂时沿用原有的产品管理模式,即将接入方式规格作为虚拟接入产品(不参与计费)由CRM管理,接入方式实体(存量、拓扑、承载、配置、确认等)由网络资源系统进行管理。
(二) 终端(家庭网关/企业网关)要实现智能化、虚拟化、标准化,进行统一定制,并逐步推进机卡分离。
终端的智能化、虚拟化、标准化,使终端管理从人工变为自动,标准化的定制终端避免了对各类终端实例的人工管理,降低了管理难度;IT系统和网络间通过逻辑LOID发生关联,网络和终端之间通过逻辑LOID方式的认证和配置,优化了资源管理方式、降低了外线施工难度,简化了装维流程,同时可实现终端更换的客户自助服务,改善客服质量。
(三) IT系统在架构上要做到集中、全专业、综合化、松耦合,与网络综合化、业务融合化的需求相匹配。
1. 集中是为了快速支撑光进铜退的业务发展,要求网络资源、服务开通、服务保障、自动激活、综合网管等IT系统能做集中配置、快速生效。
2. 全专业就是光进铜退模式下网络各专业在接入网层面已经融合,必须建设全专业的综合资源系统。
3. 综合化就是光进铜退条件下业务的捆绑融合日益加快,基于光接入,可以承载语音、宽带、IPTV、Wi-Fi等各类产品,既可接入家庭又可接入政企等各类业务,必须建设综合服务开通系统,整合接入型、带宽型开通流程,必须建设综合服务保障系统,整合客户接入型、客户带宽型、网络型故障处理流程。
4. 松耦合:光进铜退后产生的各类网络接入方式给网络资源管理、业务开通流程、故障处理流程带来的复杂性是不可避免的,因此要把光进铜退条件下网络接入方式的复杂性封装在网络资源管理系统和服务开通系统中,不要影响到其他BSS/OSS系统,特别是CRM系统,否则会把后端的网络管理问题和前端的业务支撑问题交织在一起,给IT支撑工作带来不可预知的复杂性。
分阶段实施
光进铜退的IT支撑工作是个综合性、系统性工程,涉及前后端多个业务部门,IT部门需要和市场、网发、网运等多个部门相互配合、明确职责,建立有效的工作机制。IT系统改造的难度很大,因此需要分阶段完成系统的升级改造:
第一阶段,以满足光进铜退的基本功能、做到快速支撑为目标,基本实现端到端受理开通流程的贯通。要求CRM系统能进行基于光进铜退的产品及业务受理,并且仅有一个独立的集中综合服务开通系统,一个开通数据库实例,和CRM系统完全解耦,并通过应用集成平台(ESB/EAI等)实现与BSS系统(CRM/97/IBSS等)的松耦合。
第二阶段,以规范IT架构、简化业务模式、改善支撑效益为目标,强调业务与IT的同步优化,完善优化端到端受理开通流程,基本实现对基于光进铜退的产品及业务投诉故障处理流程的支撑。CRM系统架构上接入方式和客户订单后移给OSS处理,并进行相关客户产品数据的迁移清理。
第三阶段,以提升IT能力、挖掘业务价值、实现高效支撑为目标,实现前端业务发展和后端网络发展的精确匹配;完善优化对投诉故障处理流程的支撑;实现基于光进铜退的各类业务服务质量的支撑。
背景资料
什么是“光进铜退”?
网络接入管理范文第8篇
1.1入网认证过程
首先,网络管理员需事先配置好授权管理策略,以确定用户是否具有入网权限。当用户使用USB-Key登录主机上网时,客户端软件发送入网认证请求至网络接入认证设备,设备验证通过之后,便与授权管理。服务器进行交互。授权管理服务器首先查询该用户的信任级,若信任级低于阈值,则拒绝该用户的入网请求;若用户的信任级高于阈值,则同意用户入网。当网络接入认证设备收到同意该用户入网的判决结果后,产生本次连接的会话参数,并将入网认证的结果返回至客户端,客户端软件保存会话参数,供后续的刷新认证过程使用。至此,用户与网络之间便可进行双向的数据通信。
1.2刷新认证过程
刷新认证过程如下页图7所示。该过程集中体现了可信网络中运行时的动态评估思想,即要求终端接入网络之后,对其进行连接状态的监测与评估,以做出运行时的可信安全评估,因此,为了保证终端身份的持久可信性,网络接入认证设备通过定时地对处于网络连接状态的终端用户进行刷新认证。刷新认证过程是在用户通过初始入网认证请求之后再次进行的认证。在用户通过入网认证后,网络接入认证设备同时启动软生命期Ts和硬生命期Th计时器(Ts<<Th),当软计时器结束时,将再次发送刷新认证请求至客户端,客户端用初始入网认证过程保存的会话参数进行响应,若设备验证正确,则重新启动硬计时器,并继续保持用户与网络之间的连接。若验证有误或在硬计时器结束前仍没有收到来自客户端的响应消息,则中断客户端的数据通信过程,并上报授权管理服务器。
1.3信任评价过程
在用户正常使用网络资源时,并不会激活信任评价过程,该过程仅由用户的异常行为所触发。当检测到网络中的异常事件时,例如用户使用伪造的数字证书、越级访问文件或植入病毒等等,信任管理服务器将重新计算其信任级,并将其存入日志数据库。恶意用户在不断地攻击中,将持续出现异常行为,信任级将随着异常事件发生的次数以及种类而急剧下降,当信任级降低到阈值以下时,信任管理服务器将通知接入认证设备切断用户的网络连接,并拒绝该用户的后续入网请求。通过设置信任管理服务器,可以及时、有效地对使用网络资源的用户行为进行监管,降低恶意网络攻击者对系统造成的危害,增强了系统的安全性。
1.4退网注销过程
若网路中的恶意用户制造了虚假的退网消息,而网络接入认证设备对此消息不进行验证,便直接切断用户与网络之间连接的话,那么将导致受害用户无法继续上网。因此,在设计退网注销协议时,要求用户在发送退网注销请求时,需携带最近一次刷新认证的参数,以防止上述情况的发生。当用户退网时,可以主动执行退网注销协议,或者当用户拔出USB-Key后客户端软件会自动发送退网请求至网络接入认证设备,网络接入认证设备验证通过之后,释放本地连接的会话参数,上报授权管理服务器,并返回确认消息至客户端,至此,用户退网过程才结束。
2结束语
传统的接入认证机制仅对用户进行一次入网认证过程,而没有采取措施对用户后续的网络行为进行监管,导致潜在的恶意用户可以利用这一漏洞发起攻击,危害网络安全。本文提出了一种通用的安全接入认证模型,并以专用信息网为背景,设计了一种新的认证机制,其特点是增加了刷新认证过程和信任评价过程,可以及时有效地发现用户的异常行为,降低潜在的安全风险,增强网络防御能力。
网络接入管理范文第9篇
【关键词】移动分组 VPDN 应用
1 前言
随着移动通信技术的发展,移动数据业务占整个移动业务的比重越来越大,势必会超越传统的语音业务,成为主流移动业务,这一趋势给移动数据应用发展带来了良好的市场机遇。作为网络运营商,除满足客户实时、快速、高流量上网需求的同时,还要关注基于移动分组技术行业应用的快速发展。移动分组数据技术,正在影响着人们的工作方式和生活方式。
2 WCDMA网分组数据技术简介
2.1 网络结构
基于WCDMA的分组域(WCDMA-PS)网络,是由GSM网的通用分组无线业务(GPRS)网平滑演进而来。
WCDMA-PS网络相对于GSM网的GPRS网络架构,核心网没有太大的变化,仍由服务支持节点(SGSN)、网关支持节点(GGSN)、域名解析服务器(DNS)、话单服务器(CG)等网元设备组成。服务支持节点(SGSN)具有网络接入控制、路由选择和转发、移动性管理、计费信息的收集等功能,支持Gb、Iu、SS7和Gr等接口;网关支持节点(GGSN) 主要功能是网络接入控制 (如消息屏蔽)、计费信息收集、路由选择和转发 (如地址翻译和映射、封装和隧道传输)、移动性管理、边界网关等,支持与外部网络 (IP或X.25)的透明和不透明连接,支持Gn、Gi、Gc等接口;话单服务器(CG)具有实时采集话单临时存储和缓冲话单、备份话单、话单预处理及向计费中心传送话单等功能。
2.2 WCDMA-PS的工作原理
由于WCDMA-PS网络与GPRS网络在核心网侧架构基本一致,都有SGSN、GGSN、DNS、CG等网元设备。在分组域系统中,有两个重要的数据库记录信息,一是用户移动性管理上下文,用于管理移动用户的位置信息,另一是用户的分组数据协议上下文(PDP上下文),用于管理从手机MS到网关GGSN及到因特网服务提供商(ISP)之间的数据路由信息。当手机MS访问分组数据内部网络或外部PDN/因特网网络时,MS向SGSN发激活PDP上下文请求消息,MS可以与运营商签约选择固定服务的GGSN,或根据APN选择规则,由SGSN选择服务的GGSN,SGSN再向GGSN发建立PDP上下文请求消息,GGSN分配MS一个IP地址 (静态或动态、公用或私有),在成功地建立和激活PDP上下文后,MS、SGSN和GGSN都存储用户的PDP上下文信息,有了用户的位置信息和数据的路由信息,MS就可以访问该网络的资源。
3 基于移动分组数据技术的行业应用
移动虚拟专用拨号网络(VPDN)应用是移动分组数据技术的主流行业应用,VPDN业务是基于WCDMA/GSM分组数据网为集团客户构建更加安全的、移动的、高速率的、有质量保证的虚拟专用数据网络,可以为企业用户提供移动的、安全的、有质量保证的数据通道,以便用户随时随地实现对企业资源的访问。
3.1 目标客户
行业应用面向的目标客户主要是交通、公安、物流、金融、保险等,需要员工在外办公、随时随地访问企业的数据库资源的企事业单位。
3.2 移动分组网行业应用接入方案
(1) 每个移动台(MS)通过分组数据网分配给企业的外部网络接入点名(APN)来决定该MS具备哪些业务。
(2) VPDN用户通过APN进行拨号。SGSN通过域名解析服务器(DNS)解析该APN对应的中心接入端的GGSN地址,SGSN与GGSN之间建立隧道,保证GPRS网络内的数据安全传输。
(3) GGSN向VPDN业务管理平台发送用户接入认证请求(APN、MDN、IMSI、用户名、密码),请求分配MS可用地址;
(4) VPDN业务管理平台对用户进行认证授权,用户认证通过后,将授权MS可用的IP地址信息给GGSN,GGSN将IP地址分配给MS;
(5) GGSN通过隧道方式(GRE隧道/L2TP隧道)与VPDN业务管理平台建立连接。
(6) VPDN业务管理平台接入网关通过专线方式或互联网隧道方式(GRE隧道/IPSec隧道)与企业中心平台相连。
(7) 根据需要,可采用运营商统一认证或自建认证平成认证的方案。在自认证情况下,VPDN平台将用户的认证请求转给企业的认证平台,完成对用户的认证。
3.3 移动分组网行业应用的网络接入方式
主流网络接入方式一般分为两种:专线接入方式和公网接入方式。
3.3.1 专线接入方式
企业服务器通过专线接入移动分组数据核心网。客户中心点采用E1或多个E1数字电路,以FE或E1接口与GGSN网络接入设备通信。
专线接入的特点:专线接入方式成本高,网络可靠性好。这种接入方式适合对可靠性、及时性要求较高的应用。由于移动分组核心网路由器端口有限,只能接入少量企业网络,不适合大量发展行业应用。
3.3.2 公网接入方式
企业服务器通过各种方式接入Internet,如接通169网。通过公网与运营商的移动分组网系统建立连接。GGSN和企业路由器/防火墙之间配置三层隧道封装协议(GRE)或二层隧道技术(L2TP)。企业路由器/防火墙必须分配公网地址作为隧道源地址。公网地址由提供Internet接入的运营商分配。
公网接入的特点:公网接入方式成本低,但网络可靠性也较低,容易出现丢包、乱序、时延等问题。这种接入方式适合对可靠性、及时性要求不高的应用。
4 结束语
随着3G网络的建设的日趋完善,基于WCDMA网络的分组数据网,将以其更快的数据传输速率、更大的数据传送流量、更优质的网络覆盖,为客户提供随时随地的接入网络应用服务,真正实现移动办公,提高工作的便捷性和效率。从整个国际形势来看: 未来的通信,主体将是分组数据业务, 重点也体现在分组业务方面,3G将会提供更多、更好、更丰富的业务。
作者简介
李丽坤(1977-),汉族,本科学历,研究方向:移动分组技术及VPDN行业应用。现为中国联合网络通信有限公司石家庄市分公司助理工程师。
作者单位
网络接入管理范文第10篇
县内电子政务网络接入单位(见附件1)、县电子政务网络运营商(县广电总台、县电信公司)。
二、评估体系及计分办法
(一)电子政务网络接入单位评估体系及计分办法
1、组织领导(8分)。本项目包括责任领导、技术负责人、人员培训等指标。
2、制度建设(8分)。本项目包括日常管理制度、学习培训制度、安全管理制度、应急预案等指标。
3、网络运行(27分)。本项目包括网络带宽、广度、深度、故障率、绿色节能等指标。
4、应用效果(27分)。本项目包括运行效率、广度、深度、使用效果等指标。
5、安全保密(30分)。本项目包括网络规范、信息保密、安全设施、终端安全等指标。
本评估每年由县电子政务中心负责牵头[电子政务网络运营绩效评估体系(接入单位)表见附件2]。评估得分90分(含90分)以上为“优秀”;得分80—89分为“良好”;得分在70—79分为“一般”;得分60—69分为“合格”;得分在60分以下为“不合格”。
(二)电子政务网络运营商评估体系及计分办法
1、组织领导(10分)。本项目包括责任领导、技术负责人、人员培训指标。
2、制度建设(10分)。本项目包括日常管理制度、日常巡查制度、安全管理制度、应急预案指标。
3、服务满意度(50分)。本项目包括人员及时响应、故障排除时间、故障率指标。
4、安全保密(30分)。本项目包括网络规范、信息保密、安全设施指标。
本评估每年由县电子政务中心负责牵头[电子政务网络运营绩效评估体系(运营商)表见附件3]。评估得分90分(含90分)以上为“优秀”;得分80—89分为“良好”;得分在70—79分为“一般”;得分在70分以下为“不合格”。
三、评估程序
(一)日常巡检。县电子政务中心不定期对各单位接入网进行巡检,检查网络质量,每次巡检结果记录在案,作为本年度网络运营绩效评估依据。
(二)故障备案。网络接入商每次修复故障后向县电子政务中心报送相关故障处理情况,作为本年度网络运营绩效评估依据。
(三)单位自评。各接入单位每年12月上旬认真对照《电子政务网络运营绩效评估体系》,组织自评,并将填写好的自评表报县电子政务中心。
(四)专家抽检。县电子政务中心每年年底组织专家对本年度各单位网络运营绩效进行随机抽检。
(五)评估定级。由县电子政务中心进行最后评估定级,其结果作为全年电子政务考核评优依据。不合格的直接通报单位主要领导,连续2年不合格,年终县政府综合考核电子政务以0分计算。
四、特别规定
(一)未经县电子政务中心书面同意,不得接入电子政务网络之外的其它网络。擅自接入的,本年度评定为不合格。
(二)未经县电子政务中心书面同意,不得使用独立公网IP地址,本年度公网IP地址使用变动情况应及时报县电子政务中心备案(公网IP地址使用变动情况备案表见附件3)。擅自使用独立公网IP地址的,本年度评定为不合格。
(三)本年度发生重大网络安全事件,受县级及县级以上通报批评的,运营绩效评估一律定为不合格。
五、本办法由县电子政务中心负责解释。
附件:
1、县电子政务网络接入单位名单
2、电子政务网络运营绩效评估体系表(接入单位)
3、电子政务网络运营绩效评估体系表(运营商)
4、公网IP地址使用变动情况备案表